2016 - Năm ransomware nhắm vào doanh nghiệp

Vào ngày 5/2/2016, các nhân viên y tế tại Trung tâm y tế Hollywood Presbyterian tại Los Angeles, Mỹ, gặp trục trặc khi truy cập mạng, khiến họ không trao đổi và gửi thông tin được cho nhau qua mạng. Trong vài ngày tiếp theo, họ mới nhận ra rằng trung tâm của mình đã là nạn nhân của một đợt tấn công ransomware (tấn công mã hoá dữ liệu và tống tiền) khi một loạt file trên nhiều máy tính trong mạng nội bộ của trung tâm này đều bị mã hoá. Do vậy, Trung tâm quyết định trả tiền chuộc cho kẻ xấu với mức 17.000 USD, tương đương 40 bitcoin mà kẻ tấn công yêu cầu. Đây là cách nhanh nhất để phục hồi dữ liệu và hệ thống file bị mã hoá của họ.

Đây là vụ việc đầu tiên, khởi đầu cho một loạt vụ tấn công ransomware vào các tổ chức y tế, bệnh viện tại Mỹ suốt vài tháng sau đó, mà đáng chú ý là Trung tâm y tế Chino Valley, bệnh viện Desert Valley và bệnh viện Methodist tại Henderson.

Những vụ việc này đã làm dấy lên một xu hướng đáng lo ngại: trước đây, ransomware chỉ nhắm đến đối tượng là người dùng đơn lẻ, nhưng nay, kẻ tấn công chuyển mục tiêu sang các tổ chức, doanh nghiệp.

Trend Micro cho biết trong hai năm vừa qua xu hướng sử dụng ransomware để tấn công tăng rõ rệt. Năm 2014, có 80% tấn công ransomware sử dụng những kỹ thuật thông thường, ví dụ như khoá màn hình và báo với người dùng rằng họ cần trả phí để mở lại máy tính.

Tuy nhiên, đến 2015, số liệu này bị đảo ngược, có 80% tấn công liên quan đến mã hoá dữ liệu của ransomware liên quan đến các chương trình độc hại chuyên tìm file có trong máy tính để mã hoá. Có một cuộc dịch chuyển khác của ransomware đang diễn ra, chuyển mục tiêu từ người dùng sang doanh nghiệp. Nhiều dòng ransomware mã hoá mới được phát hiện và được chặn trong năm 2016, và những dòng ransomware này chuyên nhắm đến doanh nghiệp.

Không phải các chuyên gia bảo mật không lường trước được tình hình này. Nhưng rõ ràng dữ liệu doanh nghiệp có giá trị hơn nhiều so với tài liệu cá nhân của người dùng, và doanh nghiệp có khả năng trả tiền chuộc cao hơn, đồng thời mức độ bảo mật doanh nghiệp lại tuỳ thuộc rất nhiều vào từng vị trí địa lý, quy mô và lĩnh vực hoạt động.

Bitdefender đã nhận ra có sự dịch chuyển của ransomware sang doanh nghiệp vừa và nhỏ trong năm vừa qua, vì các đối tượng này có thể trả phí ransomware nhiều hơn so với người dùng cá nhân. Như trường hợp của Trung tâm y tế Hollywood Presbyterian đồng ý trả 17.000 USD khi bị nhiễm một ransomware duy nhất, điều này cho thấy tội phạm mạng rất quan tâm đến mục tiêu là các doanh nghiệp”.

Một khảo sát mới đây của IBM về 600 nhà lãnh đạo doanh nghiệp tại Mỹ cho thấy rằng cứ 1 trong 2 người khảo sát đã từng gặp tấn công ransomware tại nơi làm việc, và trong 70% trường hợp này doanh nghiệp đều chọn giải pháp bỏ tiền chuộc để lấy lại dữ liệu.

Theo IBM X-Force, các chương trình ransomware phát tán qua email rất phổ biến, chiếm gần 40% trong tất cả email spam trong năm 2016, và tội phạm mạng trong năm qua đã kiếm được tổng cộng khoảng 1 tỉ USD từ kỹ thuật tấn công này.

Một ransomware có thể trích xuất và nắm được hoạt động của doanh nghiệp trong từng ngày; bộ phận nhân sự và tài chính là đích ngắm phổ biến bởi vì malware rất dễ nguỵ trang bằng một đơn xin việc hay một hoá đơn nào đó. Nếu doanh nghiệp là bệnh viện, dịch vụ giao thông công cộng, nhà máy cấp nước hay một nhà cung cấp giải pháp hạ tầng quan trọng thì thời gian bị ransomware tấn công có thể tác động vô cùng nghiêm trọng đến mạng sống con người. 

Hồi tháng 11 năm ngoái, hacker đã chiếm và mã hoá dữ liệu của khoảng 900 hệ thống máy tính của Cơ quan quản lý giao thông của San Francisco, Mỹ. Vụ việc này không ảnh hưởng đến tình trạng giao thông nhưng đơn vị này đã phải mở cổng và cho phép di chuyển miễn phí cho hành khách để hạn chế tối thiểu tác động đến hành khách.

Khi nói đến ransomware là nói đến dữ liệu bị kẻ xấu chặn, không cho truy cập, và chỉ có ít chọn lựa để nạn nhân trả phí cho tội phạm một khi hệ thống bị nhiễm. Doanh nghiệp cần có một kế hoạch phản ứng tức thời để xử lý tình huống này, vì giải pháp sao lưu dữ liệu định kỳ là vẫn chưa đủ.

Doanh nghiệp cần thường xuyên kiểm tra lại tính đồng bộ của các bản sao lưu dự phòng và thử chạy tiến trình phục hồi hệ thống để xem có gặp trục trặc nào không. Mặt khác, có thể việc phục hồi dữ liệu lại mất nhiều thời gian và tốn kém hơn cả việc phải bỏ tiền chuộc.

Những cách khác

Các chương trình ransomware thường được phát tán qua email spam và là cách phổ biến nhất. Nhưng kẻ tấn công vẫn luôn tìm những cách thức khác nhau, đa dạng hoá những phương pháp lây nhiễm của chúng trong năm vừa qua.

Kỹ thuật lây nhiễm ransomware phổ biến thứ hai là thông qua các công cụ tấn công lỗ hổng bảo mật trên web, như các lỗ hổng từ trình duyệt, từ plug-ins trình duyệt như Flash Player, Adobe Reader, Java và Silverlight.

Người dùng sẽ bị hướng đến những bộ khai thác lỗ hổng bảo mật thông qua những trang web đã bị tấn công, hoặc thông qua quảng cáo độc hại mà kẻ tấn công nắm giữ để hướng bạn vào các hệ thống mạng quảng cáo. Cách tấn công này sẽ âm thầm tải mã độc về máy tính mà người dùng nếu không tỉnh táo sẽ bị "dính" ngay, bởi vì kỹ thuật này tấn công qua những trang web người dùng thường ghé thăm và tin cậy. Ransomware lây nhiễm một cách âm thầm vào máy tính nạn nhân, khác hoàn toàn so với cách lây nhiễm qua thư rác.

Nhưng không chỉ máy tính của nhân viên bị nhiễm, kẻ tấn công còn khai thác các lỗ hổng bảo mật trong chính những phần mềm máy chủ để cấy ransomware vào mạng.

Hồi tháng 4 năm ngoái, tổ chức phi chính phủ MedStar Health điều hành 10 biện viện tại Washington D.C, Mỹ, bị nhiễm mã độc Samsam. Sau này, các nhà nghiên cứu mới phát hiện ra rằng Samsam được cài đặt thông qua một lỗ hổng trong máy chủ ứng dụng JBoss và có 2.000 máy chủ có lỗ hổng tương tự ở các trường học và các tổ chức khác trên khắp thế giới có cài JBoss.

Theo một báo cáo của Symantec, chiến dịch Samsam này rất đáng quan tâm bởi kẻ xấu đứng phía sau sử dụng kỹ thuật và công cụ đã từng dùng trong những cuộc tấn công mạng trước đây nhắm vào các tập đoàn lớn. Mục tiêu của chúng là nhận diện được những đích ngắm giá trị nhất và xoá những bản sao lưu dự phòng trước khi triển khai ransomware. 

Một trường hợp khác là Linux.Encoder, chương trình ransomware nền Linux đầu tiên, nhiễm vào các máy chủ web thông qua một lỗ hổng trong nền tảng quản lý nội dung Magento. Về bản chất, mỗi máy chủ có lỗ hổng đều có thể giúp kẻ xấu triển khai được những phương pháp tấn công dạng lừa đảo, giả mạo hay chỉnh sửa mã nguồn, và đều có thể dẫn đến tấn công tống tiền ransomware.

Một phương pháp phát tán ransomware khác được sử dụng gần đây là thông qua thông tin đăng nhập từ xa của tài khoản quản trị bị đánh cắp. Hồi đầu năm 2016, một biến thể ransomware có tên là Surprise đã được cài đặt thông qua thông tin Teamviewer, và mới đây nhất là trường hợp ransomware Crysis nhiễm vào máy tính thông qua tấn công brute-force RDP (Remote Desktop Protocol).

Khi nói đến tấn công qua email, kẻ tấn công thường sử dụng các file thực thị (.exe) ẩn bên trong các file nén zip, các file tài liệu Word chứa các đoạn macro nhúng độc hại và các file đính kèm JavaScript để tải về vài cài malware nếu chúng được kích hoạt.

Các giai đoạn của ransomware

Thực tế, trong tấn công ransomware, mã hoá file là bước cuối cùng của chuỗi lây nhiễm, nên vẫn có nhiều cơ hội để nhận diện và chặn tấn công dạng này trước khi dữ liệu bị khoá.

Đầu tiên, có một điểm xâm nhập nào đó trong hệ thống mạng, có thể là ở email, ở một lỗ hổng trên web hay ở chỗ nào đó khác. Nếu tấn công đó bị chặn bởi bộ lọc thư rác, hay chặn bởi sản phẩm bảo mật nào đó, thì kẻ xấu không thể triển khai ransomware được.

Giai đoạn thứ hai hoạt động giống hệt một chương trình malware thông thường, với mục tiêu là mã độc tìm cách kết nối ngược lại với máy chủ của kẻ tấn công và tải chương trình ransomware về. Nhận diện và chặn được đoạn mã độc đó là cơ hội thứ hai để chặn ransomware triển khai.

Một khi ransomware được cài, đầu tiên nó sẽ quét toàn bộ file trong máy tính và các ổ đĩa mạng chia sẻ với mục đích sẽ mã hoá chúng và sẽ tìm cách vô hiệu hoá dịch vụ Windows Shadow Copy và xoá mọi bản sao lưu dự phòng hiện thời.

Cuối cùng, trước khi khởi chạy tiến trình mã hoá, hầu hết ransomware kết nối đến một máy chủ điều khiển để nhận một khoá public RSA. Khoá này là một phần trong cặp khoá public-private mà máy chủ tạo ra và sử dụng cặp khoá này để mã hoá dữ liệu. Khoá private cần để giải mã sẽ được kẻ xấu lưu trữ, phục vụ cho việc tống tiền.

Phần lớn trường hợp, nếu một tường lửa chặn được chương trình độc hại, không cho nó truy cập ngược lại đến máy chủ điều khiển từ xa để tải về khoá public thì tiến trình mã hoá dữ liệu sẽ không xảy ra. Tuy vậy, có vài biến thể ransomware gần đây có khả năng mã hoá dữ liệu offline mà không cần qua bước truy cập ngược về máy chủ điều khiển bằng cách sử dụng một khoá cứng.

Cũng cần lưu ý rằng không chỉ dữ liệu của doanh nghiệp thành dữ liệu "rác" vì ransomware nhưng toàn bộ dữ liệu khác trên máy tính cũng trở thành rác. Các biến thể ransomware như Petya và HDDCryptor ghi đè lên Master Boot Record (MBR) của máy tính và mã hoá toàn bộ bảng file, khiến hệ thống không thể khởi động vào được hệ điều hành.

Cần làm gì

Khi bị dính ransomware, điều quan trọng là cần tách biệt, cô lập những máy tính bị nhiễm ra khỏi hệ thống còn lại trên mạng, để ransomware không thể lây nhiễm sang các máy tính khác. Tắt những máy chưa bị nhiễm cho đến khi có được giải pháp xử lý những máy tính bị nhiễm. Ở giai đoạn này, doanh nghiệp nên liên hệ với các cơ quan có thẩm quyền để yêu cầu trợ giúp.

Bước tiếp theo cần làm là bạn nên sao chép dữ liệu đã bị mã hoá và dọn dẹp lại các giá trị và file trong registry mà mã độc đã tạo ra, để nó không thể tiếp tục chạy khi máy tính bật lên trở lại. Thay đổi mật khẩu sử dụng để truy cập các dịch vụ khác trên mạng nội bộ. Điều này rất quan trọng bởi vì kẻ tấn công khi đến bước này thường đã chiếm dụng được thông tin đăng nhập của bạn. 

Và rồi đến bước khó khăn nhất: có nên bỏ tiền chuộc ra hay không? Các chuyên gia bảo mật và các cơ quan hành pháp không đề nghị trả tiền chuộc, bởi vì làm như vậy càng khuyến khích kẻ xấu tống tiền nhiều hơn và không có gì đảm bảo chúng hoàn toàn cung cấp cho bạn khoá mở khoá dữ liệu.

Theo báo cáo của Kaspersky Lab, một trong năm doanh nghiệp trả tiền chuộc không nhận lại được khoá để giải mã. Tuy vậy, đôi khi một tổ chức không làm được gì nhiều nếu không có giải pháp phòng chống ransomware.

Đây cũng là quyết định về chi phí. Một tổ chức nên tự đặt ra câu hỏi như: cái gì nên được mã hoá? Có cần những bản sao lưu cho những dữ liệu đã được mã hoá hay không? Có bao nhiêu thay đổi kể từ lần sao lưu lần cuối? Nếu dữ liệu bị mất thì giá trị dữ liệu đó đáng giá thế nào? Bao lâu mới có thể phục hồi bằng các phương tiện phục hồi, sao lưu khác nhau? Liệu có thể phục hồi dữ liệu bằng cách dùng những công cụ hiện thời?

Nếu thời gian một doanh nghiệp phải ngưng hoạt động do dữ liệu không sử dụng được, hay do thời gian phục hồi quá lâu, hay quá trình phục hồi dữ liệu lâu hơn phải trả tiền chuộc, hay chấp nhận bỏ dữ liệu bị mã hoá thì đâu là giải pháp phù hợp nhất.

Nếu doanh nghiệp quyết định không nhượng bộ kẻ tống tiền và không trả tiền chuộc ngay cả khi doanh nghiệp không thể phục hồi được dữ liệu thì họ cũng nên giữ một bản dữ liệu bị mã hoá. Đôi khi, các cơ quan công quyền hay công ty bảo mật có thể chiếm lại được máy chủ điều khiển vài biến thể ransomware nào đó và sẽ có lại được khoá giải mã. Có thể các nhà nghiên cứu bảo mật tìm ra những lỗ hổng trong thiết lập mã hoá của chương trình ransomware và tạo ra công cụ phục hồi miễn phí, giải cứu dữ liệu cho doanh nghiệp.

Làn sóng tiếp theo

Theo các chuyên gia, doanh nghiệp không chỉ là đối tượng duy nhất là nạn nhân của ransomware; làn sóng tấn công mạng tiếp theo có thể sẽ là các hệ thống mạng của các ngành công nghiệp. Bước tiếp theo trong quá trình phát triển của ransomware có thể là các chương trình xoá sạch ổ cứng sau khi tạo một bản sao dữ liệu, thay vì đơn thuần chỉ mã hoá chúng.

Nhưng cũng có ý kiến cho rằng vì hiện nay chúng ta đã biết được ransomware trên Windows, Linux, OS X và Android, có thể các thiết bị Internet of Things sẽ là mục tiêu tiếp theo. Một viễn cảnh mà các thiết bị thông minh sẽ bị điều khiển và bị tống tiền không phải là điều quá xa vời, nhất là khi càng ngày càng có nhiều thiết bị thông minh kết nối hơn trong những năm sắp đến. Nếu ngôi nhà thông minh của bạn bị tống tiền hoặc nếu hệ thống cảm biến trong nhà bạn bị dính ransomware thì có thể mọi thứ sẽ trở nên rất phức tạp. 

PC World VN 01/2017